Gente, por si les sirve…
Generé una privada con 2048 y el CSR con SHA256 y luego pedí el CRT sin problemas y lo estoy usando en este momento en producción. Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar [mailto:GUFA@mug.org.ar] En nombre de Lic. Estela Lázaro Enviado el: martes, 13 de septiembre de 2016 14:19 Para: GUFA List Member <GUFA@mug.org.ar> Asunto: [GUFA] Re: Re: [GUFA] Re: Re: [GUFA] Re: Re: [GUFA] RE: [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL Hola Pancho Ayer generé para el certif de homologación: openssl genrsa -out privada.key 2048 openssl req -new -key privada.key -subj "/C=AR/O=NNNN/CN=estela/serialNumber=CUIT xxxxxxxxx" -out pedidoEstela.csr Para verificar Sha1 o Sha2 hice lo que indicás: openssl req -in pedidoEstela.csr -noout -text y me devuelve SAH256 sin haberle puesto -sha256 Estuve probando e intermitentemente anduvo. Ahora bien, a qué se refiere la respuesta que te dicen que sólo son para los servidores, se refiere a los csr para pedir nuevos crt?: Y esta fue la respuesta de AFIP Estimado: Si, es correcto. Sha256 es sólo para los certificados de los servidores, que es independiente al certificado que se utiliza para obtener el ticket de acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas Saludos Lic. Estela Lázaro <https://ar.linkedin.com/pub/estela-l%C3%A1zaro/36/725/ab7> D&SIP Desarrollo y Servicios Informáticos Profesionales <http://www.dsip.com.ar/> www.dsip.com.ar Estela en LinkedIn <https://ar.linkedin.com/pub/estela-l%C3%A1zaro/36/725/ab7> _____ De: francisco prieto <fajpri...@gmail.com <mailto:fajpri...@gmail.com> > Para: GUFA List Member <GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> > Enviado: Lunes, 12 de septiembre, 2016 20:14:47 Asunto: [GUFA] Re: [GUFA] Re: Re: [GUFA] Re: Re: [GUFA] RE: [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL Pablo, Los certificados de produccion los podes renovar Ya!. Saludos, Pancho Córdoba Argentina El lun., 12 sept. 2016 a las 20:05, Pablo Pioli (<ppi...@hotmail.com <mailto:ppi...@hotmail.com> >) escribió: Dentro de todas las suposiciones, estoy suponiendo que van a seguir aceptando los certificados con SHA1 hasta su vencimiento de Febrero. Justo por esa fecha las actualizaciones de Windows van a bloquear su utilizacion, asi que por mas que uno quisiera continuar utilizandolos seria mas dificultoso. Como desarrolladores no deberia afectarnos a menos que usemos alguna tecnologia muy arcaica (no VFP, a vos te queremos igual). Lo que me dejaria mas tranquilo es saber cuando vamos a poder renovar los certificados de produccion actuales para hacerlo con tiempo. En cuanto tenga un rato pruebo a ver que pasa. Saludos El 12/9/2016 a las 6:11 p. m., francisco prieto escribió: Yo pedi certificado de Produccion SHA1 con 2048 de longitud de clave y certificados SHA1 y SHA2 con longitud de clave 2048 para ambientes de homologacion... Te los da siempre, pero como digo me aclararon en AFIP que se puede seguir utlizando SHA1 para los certificados, lo unico que cambia a SHA2 son lo certificados de servers, que no es lo normal... Saludos, Pancho Córdoba Argentina El lun., 12 sept. 2016 a las 18:03, Pablo Pioli (<ppi...@hotmail.com <mailto:ppi...@hotmail.com> >) escribió: Segun http://www.afip.gob.ar/ws/comoAfectaElCambio.asp los certificados actuales sirven solo hasta el 31/12. Antes estaba la fecha del 27/02 que era la fecha de vencimiento de los certificados que estan emitiendo. Podrian ser un poco mas claros, pero eso seria esperar demasiado. Alguno pidio un certificado DE PRODUCCION con SHA2? Se lo otorgaron? El 12/9/2016 a las 5:33 p. m., francisco prieto escribió: Si el certificado con el comando openssl req -in Pedido.crs -noout -text Te informa Public-Key: (2048 bit) o un numero superior, no tenes que hacer ningun cambio. Si en cambio dice 1024, anda generando un certificado nuevo porque el 1/11 te vas a acordar de la madre del jefe de AFIP y tus clientes de tu mamá... Saludos, Pancho Córdoba Argentina El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin (<segre...@eficonsultora.com <mailto:segre...@eficonsultora.com> >) escribió: Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir de cuándo se puede empezar a usar los nuevos certificados en producción? ¿Hay que esperar o ya se puede empezar a hacer el cambio? Digo para no llegar al último día. Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> [mailto:GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> ] En nombre de francisco prieto Enviado el: lunes, 12 de septiembre de 2016 16:19 Para: GUFA List Member <GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> > Asunto: [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL Grupo, Me respondieron de AFIP: Este fue mi mail... > Si sigo las indicaciones de http://www.afip.gob.ar/ws/ > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs > > Es decir lo único que cambio es la longitud de la clave y ejecuto el OppenSSL > en modo verificación de la siguiente forma: > > openssl req -in Pedido.crs -noout -text > > Me da la siguiente informacion: > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > =CUIT 20179571219 > Public Key Algorithm: rsaEncryption > Public-Key: (2048 bit) > Signature Algorithm: sha1WithRSAEncryption > > Dice claramente SHA1... es decir esta mal! > > Ahora bien si hago el siguiente cambio > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs -sha256 > > y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente > informacion > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > =CUIT 20179571219 > Subject Public Key Info: > Public Key Algorithm: rsaEncryption > Public-Key: (2048 bit) > Signature Algorithm: sha256WithRSAEncryption > > Ahora si es SHA2!!! > > Ya genere el certificado como SHA2 en homologación y me funciona, pero también > me funciona si solo cambio la longitud de la clave... cual es lo correcto para > el 1/11. > Y esta fue la respuesta de AFIP Estimado: Si, es correcto. Sha256 es sólo para los certificados de los servidores, que es independiente al certificado que se utiliza para obtener el ticket de acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas Atte. __________________________________________ División Mesa de Ayuda Departamento de Soporte Técnico Dirección de Operaciones Informáticas Esto significa que lo único que habría que respetar es que la longitud de la clave tenga al menos 2048 caracteres de largo. Para averiguar la longitud de la clave para cada cliente simplemente ejecuta el comando openssl req -in Pedido.crs -noout -text Donde Pedido.crs es el archivo que se genera con el comando C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT 20179571219" -out Pedido.crs Saludos, Pancho El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin (<segre...@eficonsultora.com <mailto:segre...@eficonsultora.com> >) escribió: Estuve leyendo algo más y lo que entiendo es que lo que cambia son los certificados, pero el código que se usa para la autorización sigue siendo válido. ¿Entendí bien? Desde ya muchas gracias por la ayuda. Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> [mailto:GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> ] En nombre de Lic Claudio E. Segretin Enviado el: lunes, 12 de septiembre de 2016 14:51 Para: GUFA List Member <GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> > Asunto: [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL A mí también me llegó. Alguien tiene idea de lo que implica? Gracias desde ya. Saludos… Claudio E. Segretin Este mensaje se dirige exclusivamente a su destinatario y puede contener información CONFIDENCIAL sometida a secreto profesional o cuya divulgación este prohibida en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos que nos lo comunique inmediatamente por esta misma vía y proceda a su destrucción. (This message is intended exclusively for its address and may contain information that is CONFIDENTIAL and protected by a professional privilege or whose disclosure is prohibited by law. If this message has been received in error, please immediately notify us via e-mail and delete it.) De: GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> [mailto:GUFA@mug.org.ar] En nombre de Ricardo Ruben Benitez Enviado el: sábado, 10 de septiembre de 2016 10:57 Para: GUFA List Member <GUFA@mug.org.ar <mailto:GUFA@mug.org.ar> > Asunto: [GUFA] Rv: Renovación de Certificados SSL Hola a todos, me ha llegado estode afip, lo comparto. Abrazo, Ricardo Benitez. rrb-calo ----- Mensaje reenviado ----- De: MailMaster - AFIP <mailmas...@afip.gob.ar <mailto:mailmas...@afip.gob.ar> > Para: Enviado: Viernes, 9 de septiembre, 2016 20:06:31 Asunto: Renovación de Certificados SSL El 01/11/2016 se renovarán los certificados SSL utilizados por los Webservices de AFIP. Los nuevos certificados utilizarán el algoritmo de encripción SHA-2. SHA-1 vs SHA-2 El algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que permiten mantener una comunicación cifrada y segura en la Web. Desde el año 2005, se conocieron ciertas deficiencias en dicho algoritmo, que demostraron que el mismo dejó de brindar la seguridad para el cual había sido desarrollado. Debido a ello, en 2011 la Organización de Autoridades Certificantes y Proveedores de Navegadores Web (CA/B), determinó dejar de utilizar este algoritmo, declarándolo como obsoleto. Microsoft, Google, Apple, Mozilla y Opera entre otros, como miembros del CA/B, anunciaron que sus navegadores: Internet Explorer, Google Chrome, Safari, Opera, etc. dejarán de aceptar como válidos los certificados que utilicen el algoritmo SHA-1 a partir del año 2017. Asimismo, las Autoridades Certificantes Comerciales, también miembros del CA/B, que emiten los Certificados SSL utilizados por los servicios del Organismo, no emiten certificados empleando SHA-1 con vencimiento posterior al 31 de diciembre de 2016. Por ello, antes del 31 de diciembre de 2016, resulta necesario actualizar todos los certificados utilizados por esta Organización para las comunicaciones SSL, reemplazándolos por nuevos certificados que empleen el algoritmo SHA-2. Los usuarios de Webservices provistos por AFIP deberán analizar si estos cambios generan algún tipo de impacto en sus desarrollos. Para ello se actualizaron en el mes de abril de 2015 los Certificados Digitales del entorno de Homologación, utilizando ya para los nuevos certificados el algoritmo SHA-2. Los principales servicios de Homologación que ya están actualizados con certificados SHA-2 son: WSAA- WebService de Autenticación y Autorización Factura Electrónica - Webservices de Factura Electrónica (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) BFE - Webservice de Bonos Fiscales Electrónicos CTG - Webservice de Código de Trazabilidad de Granos Webservice de Juegos de Azar (JAZA) Webservice de Consulta a Padrón Webservice de Consulta y Lectura de Comunicaciones de eVentanilla Los cambios en el entorno de Producción se harán efectivos el día Martes 01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes antes de esa fecha. Es importante aclarar que este cambio NO AFECTA a los usuarios que utilizan los servicios web de la AFIP con sus navegadores de Internet. Sólo deberán evaluar el impacto aquellos usuarios de Webservices SOAP. Todo lo informado en el presente correo se encuentra publicado en el micrositio de Webservices (http://www.afip.gob.ar/ws/) DIRECCION DE INFRAESTRUCTURA TECNOLOGICA DIRECCION DE OPERACIONES INFORMATICAS SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES
